logto-io · silverhand-bot · Feb 14, 2026
diff --git a/docs/quick-starts/fragments/_scope-claim-list.md b/docs/quick-starts/fragments/_scope-claim-list.md
@@ -1,6 +1,6 @@
 Here's the list of supported scopes and the corresponding claims:
 
-### Standard OIDC scopes
+### Standard OIDC scopes {#standard-oidc-scopes}
 
 **`openid`** (default)
 
@@ -46,7 +46,7 @@ Please refer to the [OpenID Connect Core 1.0](https://openid.net/specs/openid-co
 Scopes marked with **(default)** are always requested by the Logto SDK. Claims under standard OIDC scopes are always included in the ID token when the corresponding scope is requested — they cannot be turned off.
 :::
 
-### Extended scopes
+### Extended scopes {#extended-scopes}
 
 The following scopes are extended by Logto and will return claims through the [userinfo endpoint](https://openid.net/specs/openid-connect-core-1_0.html#UserInfo). These claims can also be configured to be included directly in the ID token through <CloudLink to="/customize-jwt">Console > Custom JWT</CloudLink>. See [Custom ID token](/developers/custom-id-token) for more details.
 

diff --git a/i18n/de/docusaurus-plugin-content-docs/current/developers/README.mdx b/i18n/de/docusaurus-plugin-content-docs/current/developers/README.mdx
@@ -1,6 +1,6 @@
 # Entwickler
 
-Logto ist ein [Identity and Access Management (IAM)](https://auth.wiki/iam) Dienst, der auf den [OAuth 2](https://auth.wiki/oauth-2.0) und [OIDC](https://auth.wiki/openid-connect) Protokollen basiert. IAM-Dienste wie Logto dienen häufig als Grundlage für andere Webdienste; verschiedene Autorisierungszustände innerhalb dieser Webdienste werden direkt von Logto beeinflusst.
+Logto ist ein [Identity and Access Management (IAM)](https://auth.wiki/iam)-Dienst, der auf den Protokollen [OAuth 2](https://auth.wiki/oauth-2.0) und [OIDC](https://auth.wiki/openid-connect) basiert. IAM-Dienste wie Logto dienen häufig als Grundlage für andere Webdienste; verschiedene Autorisierungszustände innerhalb dieser Webdienste werden direkt von Logto beeinflusst.
 
 Um unseren Nutzern Komfort zu bieten, stellt Logto eine Reihe häufig genutzter Entwicklerfunktionen bereit.
 
@@ -19,9 +19,18 @@ import Settings from '@site/docs/developers/assets/icons/gear.svg';
   items={[
     {
       type: 'link',
-      label: 'Benutzerdefinierte Token-Ansprüche (Custom token claims)',
+      label: 'Benutzerdefiniertes Zugangstoken (Custom access token)',
       href: '/developers/custom-token-claims',
-      description: 'Erweitere die Möglichkeiten der Zugangskontrolle, indem zusätzliche Ansprüche angehängt werden, was dabei helfen kann, ABAC zu erreichen oder die Token-Ausgabe abzulehnen.',
+      description: 'Verwende benutzerdefinierte Skripte, um zusätzliche Ansprüche (claims) an Zugangstokens anzuhängen, ABAC zu ermöglichen oder die Token-Ausstellung abzulehnen.',
+      customProps: {
+        icon: <JwtClaims />,
+      }
+    },
+    {
+      type: 'link',
+      label: 'Benutzerdefiniertes ID-Token (Custom ID token)',
+      href: '/developers/custom-id-token',
+      description: 'Steuere, welche erweiterten Ansprüche (claims) in ID-Tokens enthalten sind, gemäß der OIDC-Spezifikation.',
       customProps: {
         icon: <JwtClaims />,
       }
@@ -30,7 +39,7 @@ import Settings from '@site/docs/developers/assets/icons/gear.svg';
       type: 'link',
       label: 'Benutzermimikry (User impersonation)',
       href: '/developers/user-impersonation',
-      description: 'Erlaube autorisierten Benutzern, vorübergehend im Namen von Endbenutzern zu handeln – nützlich für Fehlerbehebung, Kundensupport und administrative Aufgaben.',
+      description: 'Erlaube autorisierten Benutzern, vorübergehend im Namen von Endbenutzern zu handeln – nützlich für Fehlersuche, Kundensupport und administrative Aufgaben.',
       customProps: {
         icon: <UserImpersonation />,
       }
@@ -48,7 +57,7 @@ import Settings from '@site/docs/developers/assets/icons/gear.svg';
       type: 'link',
       label: 'Signaturschlüssel (Signing keys)',
       href: '/developers/signing-keys',
-      description: 'Stellt einen systemweiten Signaturschlüssel bereit, der über den Passwort-Tresor die Authentifizierungsdienste sicherer macht.',
+      description: 'Stellt einen systemweiten Signaturschlüssel bereit, der über den Passwort-Tresor verwaltet wird und den Authentifizierungsdienst sicherer macht.',
       customProps: {
         icon: <Key />,
       }
@@ -64,7 +73,7 @@ import Settings from '@site/docs/developers/assets/icons/gear.svg';
     },
     {
       type: 'link',
-      label: 'Prüfprotokolle (Audit logs)',
+      label: 'Audit-Logs (Audit logs)',
       href: '/developers/audit-logs',
       description: 'Zeichnet benutzerauthentifizierungsbezogene Aktivitäten auf, um das Debugging und die Analyse von Benutzeraktivitäten zu erleichtern.',
       customProps: {

diff --git a/i18n/de/docusaurus-plugin-content-docs/current/developers/audit-logs/README.mdx b/i18n/de/docusaurus-plugin-content-docs/current/developers/audit-logs/README.mdx
@@ -1,5 +1,5 @@
 ---
-sidebar_position: 6
+sidebar_position: 7
 ---
 
 # Audit-Logs
@@ -8,37 +8,37 @@ Das Audit-Log von Logto ermöglicht es dir, Benutzeraktivitäten und Ereignisse
 
 ## Alle Logs anzeigen \{#view-all-logs}
 
-Navigiere zu <CloudLink to="/audit-logs">Konsole > Audit-Logs</CloudLink>. Logto erfasst und organisiert Authentifizierungsereignisse in einer Tabelle. Es werden der Ereignisname, Benutzer, Anwendung und Zeitstempel protokolliert. Du kannst die Ergebnisse eingrenzen, indem du nach Ereignisname und Anwendungsname filterst. Durch Klicken auf ein bestimmtes Ereignis erhältst du weitere Details.
+Navigiere zu <CloudLink to="/audit-logs">Konsole > Audit-Logs</CloudLink>. Logto erfasst und organisiert Authentifizierungsereignisse in einer Tabelle. Es werden der Ereignisname, der Benutzer, die Anwendung und der Zeitstempel protokolliert. Du kannst die Ergebnisse eingrenzen, indem du nach Ereignisname und Anwendungsname filterst. Durch Klicken auf ein bestimmtes Ereignis erhältst du weitere Details.
 
 :::warning
-Audit-Logs enthalten nur Protokolle, die während des Authentifizierungsprozesses des Benutzers auftreten. Protokolle von Management API-Operationen werden nicht aufgezeichnet.
+Audit-Logs enthalten nur Protokolle, die während des Authentifizierungsprozesses des Benutzers auftreten; Protokolle von Management API-Operationen werden nicht aufgezeichnet.
 :::
 
 ## Benutzeraktivität auf Mandantenebene erfassen \{#capture-user-activity-at-the-tenant-level}
 
 Die Logs von Logto bieten umfassende Details und gewährleisten so eine einfache Nachverfolgung und Kundensicherheit. Sie erfassen und protokollieren folgende Informationen:
 
-- Ereignistyp (eine vollständige Liste der Audit-Log-Ereignisse findest du [hier](/developers/audit-logs/event-types))
+- Art des Ereignisses (eine vollständige Liste der Audit-Log-Ereignisse findest du [hier](/developers/audit-logs/event-types))
 - Beteiligte Anwendung
 - IP-Adresse
 - Beteiligter Benutzer
 - Log-ID
 - Zeitstempel
 - User-Agent
 
-Durch die Aufbewahrung dieser Ereignisprotokolle können Organisationen potenzielle Sicherheitsrisiken effektiv erkennen und umgehend Maßnahmen ergreifen, um unbefugten Systemzugriff zu verhindern.
+Durch die Aufzeichnung dieser Ereignisse können Organisationen potenzielle Sicherheitsrisiken effektiv erkennen und umgehend Maßnahmen ergreifen, um unbefugten Systemzugriff zu verhindern.
 
 <img src="/img/assets/audit-log-success-details-page.png" alt="Audit-Log-Erfolgsdetailseite" />
 
 ## Detaillierte Analyse auf Benutzerebene durchführen \{#perform-a-detailed-analysis-at-the-user-level}
 
-Administratoren können eine detaillierte Analyse der Logs durchführen, die mit bestimmten Benutzern verknüpft sind, und so umfassende Untersuchungen zu bestimmten Ereignissen ermöglichen. Die Navigation ist einfach und benutzerfreundlich.
+Administratoren können eine detaillierte Analyse der Logs durchführen, die mit bestimmten Benutzern verknüpft sind, und so umfassende Untersuchungen zu bestimmten Ereignissen ermöglichen. Die Navigation ist dabei einfach und benutzerfreundlich.
 
 Um benutzerspezifische Logs einzusehen, folge diesen Schritten:
 
 1. Navigiere zu <CloudLink to="/users">Konsole > Benutzerverwaltung</CloudLink>.
 2. Wähle den gewünschten Benutzer aus und gehe zur Detailseite.
-3. Klicke auf „Benutzer-Logs“. Die angezeigte Tabelle zeigt ausschließlich Log-Ereignisse, die von diesem bestimmten Benutzer durchgeführt und ausgelöst wurden.
+3. Klicke auf „Benutzer-Logs“. Die angezeigte Tabelle zeigt ausschließlich Log-Ereignisse an, die von diesem bestimmten Benutzer durchgeführt und ausgelöst wurden.
 
 <img
   src="/img/assets/audit-logs-related-to-specific-user.png"

diff --git a/...de/docusaurus-plugin-content-docs/current/developers/custom-id-token/README.mdx b/...de/docusaurus-plugin-content-docs/current/developers/custom-id-token/README.mdx
@@ -0,0 +1,81 @@
+---
+sidebar_position: 3
+---
+
+# Benutzerdefinierter ID-Token
+
+## Einführung \{#introduction}
+
+[ID-Token (ID token)](https://auth.wiki/id-token) ist ein spezieller Token-Typ, der durch das [OpenID Connect (OIDC)](https://auth.wiki/openid-connect)-Protokoll definiert ist. Er dient als Identitätsnachweis, der vom Aussteller (Issuer) des Autorisierungsservers (Logto) nach erfolgreicher Authentifizierung eines Benutzers ausgegeben wird und Ansprüche (Claims) über die Identität des authentifizierten Benutzers enthält.
+
+Im Gegensatz zu [Zugangstokens (access tokens)](/developers/custom-token-claims), die zum Zugriff auf geschützte Ressourcen verwendet werden, sind ID-Token speziell dafür konzipiert, die authentifizierte Benutzeridentität an Client-Anwendungen zu übermitteln. Sie sind [JSON Web Tokens (JWTs)](https://auth.wiki/jwt), die Ansprüche (Claims) über das Authentifizierungsereignis und den authentifizierten Benutzer enthalten.
+
+## Wie ID-Token-Ansprüche funktionieren \{#how-id-token-claims-work}
+
+In Logto werden ID-Token-Ansprüche (ID token claims) in zwei Kategorien unterteilt:
+
+1. **Standard-OIDC-Ansprüche**: Durch die OIDC-Spezifikation definiert, werden diese Ansprüche vollständig durch die während der Authentifizierung angeforderten Berechtigungen (Scopes) bestimmt.
+2. **Erweiterte Ansprüche**: Von Logto erweiterte Ansprüche, die zusätzliche Identitätsinformationen transportieren und durch ein **Dual-Bedingungsmodell** (Berechtigung + Umschalter) gesteuert werden.
+
+```mermaid
+flowchart TD
+    A[Benutzerauthentifizierungsanfrage] --> B{Angeforderte Berechtigungen}
+    B --> C[Standard-OIDC-Berechtigungen]
+    B --> D[Erweiterte Berechtigungen]
+    C --> E[Standardansprüche im ID-Token enthalten]
+    D --> F{Umschalter in der Konsole aktiviert?}
+    F -->|Ja| G[Erweiterte Ansprüche im ID-Token enthalten]
+    F -->|Nein| H[Ansprüche nicht enthalten]
+```
+
+## Standard-OIDC-Ansprüche \{#standard-oidc-claims}
+
+Standardansprüche werden vollständig durch die OIDC-Spezifikation geregelt. Ihre Aufnahme in den ID-Token hängt ausschließlich von den Berechtigungen ab, die deine Anwendung während der Authentifizierung anfordert. Logto bietet keine Möglichkeit, einzelne Standardansprüche zu deaktivieren oder selektiv auszuschließen.
+
+Die folgende Tabelle zeigt die Zuordnung zwischen Standardberechtigungen und den entsprechenden Ansprüchen:
+
+| Scope     | Claims                                                                                                                                                                           |
+| --------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
+| `openid`  | `sub`                                                                                                                                                                            |
+| `profile` | `name`, `family_name`, `given_name`, `middle_name`, `nickname`, `preferred_username`, `profile`, `picture`, `website`, `gender`, `birthdate`, `zoneinfo`, `locale`, `updated_at` |
+| `email`   | `email`, `email_verified`                                                                                                                                                        |
+| `phone`   | `phone_number`, `phone_number_verified`                                                                                                                                          |
+| `address` | `address`                                                                                                                                                                        |
+
+Beispiel: Wenn deine Anwendung die Berechtigungen `openid profile email` anfordert, enthält der ID-Token alle Ansprüche aus den Scopes `openid`, `profile` und `email`.
+
+## Erweiterte Ansprüche \{#extended-claims}
+
+Über die Standard-OIDC-Ansprüche hinaus erweitert Logto zusätzliche Ansprüche, die identitätsspezifische Informationen für das Logto-Ökosystem enthalten. Diese erweiterten Ansprüche folgen einem **Dual-Bedingungsmodell**, um im ID-Token enthalten zu sein:
+
+1. **Bedingung Berechtigung**: Die Anwendung muss während der Authentifizierung die entsprechende Berechtigung anfordern.
+2. **Umschalter in der Konsole**: Der Administrator muss die Aufnahme des Anspruchs in den ID-Token über die Logto-Konsole aktivieren.
+
+Beide Bedingungen müssen gleichzeitig erfüllt sein. Die Berechtigung dient als Zugriffsdeklaration auf Protokollebene, während der Umschalter die Sichtbarkeitskontrolle auf Produktebene übernimmt — ihre Verantwortlichkeiten sind klar und nicht austauschbar.
+
+### Verfügbare erweiterte Berechtigungen und Ansprüche \{#available-extended-scopes-and-claims}
+
+| Scope                                | Claims                         | Beschreibung                                         | Standardmäßig enthalten |
+| ------------------------------------ | ------------------------------ | ---------------------------------------------------- | ----------------------- |
+| `custom_data`                        | `custom_data`                  | Benutzerdefinierte Daten auf dem Benutzerobjekt      |                         |
+| `identities`                         | `identities`, `sso_identities` | Verknüpfte soziale und SSO-Identitäten des Benutzers |                         |
+| `roles`                              | `roles`                        | Zugewiesene Rollen des Benutzers                     | ✅                      |
+| `urn:logto:scope:organizations`      | `organizations`                | Organisations-IDs des Benutzers                      | ✅                      |
+| `urn:logto:scope:organizations`      | `organization_data`            | Organisationsdaten des Benutzers                     |                         |
+| `urn:logto:scope:organization_roles` | `organization_roles`           | Organisationsrollen-Zuweisungen des Benutzers        | ✅                      |
+
+### Konfiguration in der Logto-Konsole \{#configure-in-logto-console}
+
+So aktivierst du erweiterte Ansprüche im ID-Token:
+
+1. Navigiere zu <CloudLink to="/customize-jwt">Konsole > Benutzerdefiniertes JWT</CloudLink>.
+2. Aktiviere die Umschalter für die Ansprüche, die du im ID-Token aufnehmen möchtest.
+3. Stelle sicher, dass deine Anwendung während der Authentifizierung die entsprechenden Berechtigungen anfordert.
+
+## Verwandte Ressourcen \{#related-resources}
+
+<Url href="/developers/custom-token-claims">Benutzerdefiniertes Zugangstoken</Url>
+
+<Url href="https://openid.net/specs/openid-connect-core-1_0.html#IDToken">
+  OpenID Connect Core – ID-Token
+</Url>